解锁+监控！最新安卓间谍软件NoviSpy植入疑利用了高通零日漏洞

塞尔维亚政府利用高通零日漏洞解锁Android设备并感染一种名为“NoviSpy”的新间谍软件，用于监视活动人士、记者和抗议者。

尴尬！警方在活动人士手机中安装NoviSpy间谍软件被揭露

与此次攻击相关的高通漏洞之一是CVE-2024-43047，该漏洞于2024年10月被Google Project Zero标记为主动利用的零日漏洞，并于11月在Android上得到修复。

根据该间谍软件的通信内容来看，它似乎是由塞尔维亚当局部署的。国际TS组织安全实验室在警方归还一名记者的手机后，发现了该软件。

国际TS组织的一份报告写道：“2024年2月，来自塞尔维亚迪米特洛夫格勒、报道当地新闻的独立记者斯拉维莎·米拉诺夫（Slaviša Milanov）在一次看似例行的交通拦截后被带到了警察局。”

“斯拉维沙获释后，他注意到自己的手机出现了异常——数据和Wi-Fi设置均已关闭。斯拉维沙意识到这可能是黑客攻击的迹象，并意识到塞尔维亚记者面临的监控威胁，因此他联系了国际TS组织安全实验室，要求对其手机进行分析。”

随后，研究人员向谷歌威胁分析小组(TAG)提供了漏洞利用工具，从而发现了高通DSP（数字信号处理器）驱动程序（“adsprpc”）中的缺陷，该驱动程序用于将多媒体处理卸载到DSP核心。

虽然谷歌不确定NoviSpy利用了哪些漏洞，但有证据表明，该间谍软件采用漏洞链绕过Android安全机制并在内核级别持续安装。

NoviSpy间谍软件被植入 

国际TS组织报告称，在设备物理保管期间，塞尔维亚安全信息局(BIA)和塞尔维亚警方使用Cellebrite解锁工具解锁了一部手机，随后部署了NoviSpy。

根据被篡改设备的取证证据，研究人员认为Cellebrite利用高通零日漏洞解锁了Android手机。

国际TS组织的报告中写道：“在为本报告进行研究的过程中，安全实验室还发现了法医证据，从而确定了一个零日Android权限提升漏洞，该漏洞可用于提升塞尔维亚活动人士的设备权限。”

“该漏洞是与Androidmaker Google的安全研究人员合作发现的，影响了大量使用流行高通芯片组的Android设备，影响了全球数百万台Android设备。”

该间谍软件与直接与BIA绑定的IP范围内的服务器进行通信，而样本中的配置数据识别出与该国之前的间谍软件采购计划相关的特定人员。

被攻击的对象包括记者、人权活动家和政府异J人士。国际TS组织报告中提到的具体例子包括记者斯拉维莎·米拉诺夫、非政府组织“鳄鱼”成员和三名活动人士。

然而，国际TS组织表示，技术证据表明，过去几年来，NoviSpy已安装在塞尔维亚数十台甚至数百台Android设备上。

关于最初的入侵，国际TS组织表示，恢复的资料指向一次利用Android通话功能（例如Voice-over-Wifi或Voice-over-LTE(VoLTE)功能）的零点击攻击。

这些程序在被检查的受感染设备上处于活动状态，用作富通信套件(RCS)呼叫的一部分。

国际TS组织怀疑一些活动人士可能成为Android零点击漏洞的攻击目标，攻击者可以利用该漏洞接听来自多位无效电话号码的电话，如下所示。

可能被利用的漏洞

谷歌的TAG收到了国际TS组织捕获的漏洞所产生的内核崩溃日志，并进行逆向分析，发现了高通adsprpc驱动程序中的六个漏洞，该驱动程序被应用于数百万台Android设备。这六个缺陷概括如下：

CVE-2024-38402：驱动程序中的引用计数问题可能导致内核空间中的释放后使用(UAF)利用和任意代码执行。

CVE-2024-21455：存在缺陷的“is_compat”标志处理允许将用户控制的指针视为内核指针，从而创建任意读/写原语并导致权限提升。

CVE-2024-33060：“fastrpc_mmap_create”中的竞争条件使驱动程序面临UAF漏洞，尤其是在处理全局内存映射时，导致内核内存损坏。

CVE-2024-49848：处理持久映射中的逻辑错误会导致在对映射的引用被不当释放时出现UAF场景，从而提供持久性机制。

CVE-2024-43047：“fastrpc_mmap”中的重叠内存映射可能导致对象引用损坏，从而可能导致内存损坏。

未知漏洞（暂无CVE）：fastrpc_mmap_find中的不当验证会泄露内核地址空间信息，从而绕过内核地址空间布局随机化(KASLR)。

谷歌研究人员证实了CVE-2024-43047的利用，并推测其余漏洞也在复杂的攻击链中被利用。

在撰写本文时，尽管谷歌145天前已向高通报告了此问题，但高通尚未发布针对CVE-2024-49848的补丁。

谷歌还指出，高通推迟了对CVE-2024-49848和CVE-2024-21455的修补，而修补期限为行业标准的90天。

BleepingComputer联系了高通，询问这六个缺陷的现状，其发言人发表了以下声明：

“开发致力于支持强大安全性和隐私性的技术是高通技术公司的首要任务。”

“我们赞扬Google Project Zero和国际TS组织安全实验室的研究人员采用协调披露做法。关于他们的FastRPC驱动程序研究，截至2024年9月，我们已向客户提供修复程序。我们鼓励最终用户在设备制造商提供安全更新时应用这些更新。”

关于CVE-2024-49848，高通告诉BleepingComputer，已经开发出修复程序并正在进行披露流程，相关安全公告将于2025年1月发布。

对于缺少CVE标识符的漏洞，高通表示该问题已于2024年9月与CVE-2024-33060修复程序一起打包，因此已修复。

参考资源

1、https://www.bleepingcomputer.com/news/security/new-android-novispy-spyware-linked-to-qualcomm-zero-day-bugs/

2、http://securitylab.amnesty.org/latest/2024/12/a-digital-prison-surveillance-and-the-suppression-of-civil-society-in-serbia/

原文始发于微信公众号（网空闲话plus）：解锁+监控！最新安卓间谍软件NoviSpy植入疑利用了高通零日漏洞